好的网站怎么建设,网页游戏排行榜知乎,计算机网站建设专业热门吗,零代码开发1.暴力破解注意事项 1、破解前一定要有一个有郊的字典#xff08;Top100 TOP2000 csdn QQ 163等密码#xff09; https://www.bugku.com/mima/ 密码生成器 2、判断用户是否设置了复杂的密码 在注册页面注册一个,用简单密码看是否可以注册成功 3、网站是…1.暴力破解注意事项 1、破解前一定要有一个有郊的字典Top100 TOP2000 csdn QQ 163等密码 https://www.bugku.com/mima/ 密码生成器 2、判断用户是否设置了复杂的密码 在注册页面注册一个,用简单密码看是否可以注册成功 3、网站是否存在验证码 注意隐藏验证码 4、尝试登录的行为是否有限制 X_FORWARDED_FOR 将IP改为127.0.0.1 5、网站是否双因素认证、Token值等等 手机验证码 waf限制用户登录 2.暴力破解分类 C/S 客户端服务端 Bruter 超级弱口令检测工具 hydraburp里九头蛇kail默认自带 -s PORT 可通过这个参数指定非默认端口。 -l LOGIN 指定破解的用户对特定用户破解。 -L FILE 指定用户名字典。 -p PASS 小写指定密码破解少用一般是采用密码字典。 -P FILE 大写指定密码字典。 -e ns 可选选项n空密码试探s使用指定用户和密码试探。 -C FILE 使用冒号分割格式例如“登录名:密码”来代替-L/-P参数。 -M FILE 指定目标列表文件一行一条。 -o FILE 指定结果输出文件。 -f 在使用-M参数以后找到第一对登录名或者密码的时候中止破解。 -t TASKS 同时运行的线程数默认为16。 -w TIME 设置最大超时的时间单位秒默认是30s。 -v / -V 显示详细过程。 hydra -L user.txt -P top100.txt -t 1 -vV -e ns 10.0.0.131 mssql -o 1.txt 通过cat 1.txt查看 B/S 浏览器 基于表单的暴力破解 服务端和客户端都绕不过使用工具pkav 基于验证码暴力破解 on client常见问题不安全的前端js实现验证码在burp 里删掉验证码失效不安全的将验证码在cookie中泄露不安全的将验证码在前端源代码中泄露 删掉验证码 给密码添加变量 on server常见问题验证码在后台不过期导致长期使用(php默认session是24分钟过期)验证码校验不严格逻辑出现问题验证码设计的太过简单和有规律的被猜解 取消注释就是销毁验证码不能第二次使用没有漏洞没有这行代码默认是24分钟过期 先清除变量在给密码添加变量 开始攻击 弱验证码识别攻击(绕过验证码) 使用burp抓包复制 打开不能抓包使用burp 密码添加密码标记验证码添加验证码标记 全为数字 复制验证码的地址 基于Token破解 由于token值输出在前端源代码中容易被获取因此也就失去了防暴力破解的意义一般Token在防止CSRF上会有比较好的功郊。 攻击类型为音叉型线程数为1密码设一个变量token设一个变量 先清除变量在添加变量 top100 从响应提取的勾不要勾 开始token value 结束为 / 验证码绕过的方法 客户端直接抓包将验证码删掉 服务端 程序员写代码没有写session可以在24分钟内进行暴力破解 弱验证码绕过 用pkva识别带入验证码进行爆破 验证码有token 值 攻击类型改为音叉型线程改为1 3.暴力破解安全防范 1) 强制要求输入验证码否则必须实施IP策略。 注意不要被X-Forwaded-For绕过了 2) 验证码只能用一次用完立即过期不能再次使用 3) 验证码不要太弱。扭曲、变形、干扰线条、干扰背景色、变换字体等。 4) 大网站最好统一安全验证码各处使用同一个验证码接口。
